Publicité en cours de chargement...
Achetez mon Zero Trust, il est beau mon Zero Trust !
Inondant les plaquettes publicitaires et faisant le buzz sur les salons ces dernières années, le Zero Trust est-il encore une mode farfelue ou apporte-t-il vraiment quelque chose ?
L’approche Zero Trust, imaginée par John Kindervag [1] il y a plus de dix ans déjà ! Peut-être que sans le savoir, vous faites déjà du Zero Trust depuis plusieurs années. Bon, si votre SIH se « limite » à un réseau interne avec vos serveurs, postes clients, dispositifs médicaux et GTC, une DMZ pour vos machines exposées sur Internet et un pare-feu entre les deux, on peut dire que votre approche a une bonne trentaine d’années de retard ! Vous avez mis en place des VLANs routés par vos cœurs de réseau ? Vous ne savez pas ce que sont des ACL ? Vous avez toujours vos trente ans de retard… Rien d’incurable, mais votre SI de santé risque d’être très malade si un attaquant déboule sur le réseau.
Zero Trust est le digne héritier du principe de « Dé-périmétrisation » [2] initié par Jon Measham et le Jericho Forum [3]. Il se résume assez simplement :
- je ne fais pas confiance à mes réseaux internes
- je ne fais pas confiance à mes terminaux
- je ne fais pas confiance à mes utilisateurs
Par conséquent, je dois appliquer les mêmes règles de sécurité à mes réseaux internes, que j’applique à mes machines exposées sur Internet.
Autant dire que quand un éditeur bien connu arrive avec sa procédure d’installation pour une application médicale vendue en 2021 en vous disant, pour une connexion sur un réseau interne, pas besoin de chiffrer les flux : connexion HTTP à l’application, interconnexion LDAP avec votre annuaire, échange de fichiers via FTP et envoi de messages via SMTP, il est à l’opposé du Zero Trust… du coup, adoptez la démarche Zero Trust et adaptez-là à la vraie vie ! Ne lui faites pas confiance !
Quand on pense qu’on impose des certifications HAS à nos établissements de santé et qu’on laisse des éditeurs leur vendre à prix d’or de telles cochonneries… Comment avoir confiance dans ce « Kaa » ? Voilà pourquoi nous sommes, allons ou devons tous devenir, des aficionados du Zero Trust.
Micro-segmentation, filtrage, chiffrement et supervision des flux, limitation au strict nécessaire des droits et accès, bastions d’administration, authentification multi facteurs, sandboxing, sont des exemples d’actions qui pourront grandement nous aider dans cette démarche. Bien sûr, l’achat de solutions matérielles et logicielles seront nécessaires dans certains cas, mais sortir le carnet de chèques ne vous permettra pas forcément de sécuriser votre SI. Si vous n’avez jamais appris à conduire, même en achetant une formule 1, vous ne deviendrez pas pilote de course...
[1]
[2]
[3]
Avez-vous apprécié ce contenu ?
A lire également.

Mais non, la 27001 n’est pas lourdingue !
06 oct. 2025 - 22:14,
Tribune
-Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies
06 oct. 2025 - 21:41,
Actualité
- DSIHPour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé
02 oct. 2025 - 10:31,
Communiqué
- La Poste Santé & AutonomieRendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Le Data Act : une nouvelle ère pour la gouvernance des données de santé
30 sept. 2025 - 07:15,
Tribune
-Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...